Под фейковым сертификатом от Минцифры скрывался MetaStealer

«У пользователей, не установивших сертификаты безопасности Минцифры, с 30 января возникнут проблемы с доступом на сайт Госуслуг и в онлайн-банкинг». Испугались? На то и расчет: 25 января система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила фишинговые письма, отправленные якобы от Минцифры.

В отличие от большинства вредоносных рассылок это письмо было составлено довольно грамотно и стильно оформлено. Только вот кнопка «Скачать», как установили в ходе дополнительной проверки аналитики Центра Кибербезопасности F.A.C.C.T. , вела на архив со стилером MetaStealer (вариация RedLine Stealer).

MetaStealer — шпионское ПО, которое нацелено на кражу конфиденциальной информации с компьютера жертвы. Первое появление данного стилера было замечено в 2022 году. Чаще всего распространяется через рассылку фишинговых писем. Имеет версии для атак как на Windows, так и на MacOS.

В последнее время MetaStealer часто использовала кибершпионская APT-группа Sticky Werewolf. Но за этой рассылкой, судя по технике, вероятно, стоит другая хак-команда — стилер продается в свободном доступе.

Кроме того, отличительной особенностью этой рассылки было то, что киберпреступники отправили сообщение, используя спуфинг — технику, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса.

Во всех случаях фишинговые письма были перехвачены и заблокированы системой для защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR. 

Индикаторы компрометации

Файлы:

russian_trusted_ca_ms.cer.rar

russian_trusted_root_ca.cer.exe

russian_trusted_sub_ca.cer.exe

SHA1:

242fb5d530c4da533bac43ef6d4e26af7e080adb

5244539842ff4a2e58331aa6a825deb6246da8ee

URL:

hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии